ЛинкедИн АутоФилл додатак је можда изложио податке корисничког профила хакерима
Фацебооков скандал о безбедности података[1] тренутно је стављен у сенку ЛинкедИн-овом грешком АутоФилл, која можда излаже личне податке корисника веб локацијама трећих страна.
ЛинкедИн, друштвена мрежа професионалаца који припадају Мицрософту од 2016. године, је размотрена као једна од најпрофесионалнијих друштвених мрежа на вебу која не одступа од свог почетног сврха. Међутим, није успела да избегне скандал о упаду података. 9. априла 2018. открио је истраживач Џек Кејбл[2] озбиљан недостатак у ЛинкедИн-овом додатку АутоФилл.
Названа скриптовањем на више локација (КССС), грешка би могла да открије основне информације са профила чланова ЛинкедИн-а, као што су пуно име, адреса е-поште, локација, позиција на којој се налазе итд. неповерљивим странкама. Одобрене веб локације трећих страна које су укључене на ЛинкедИн-ову белу листу могу учинити „Аутоматско попуњавање са ЛинкедИн-ом“ невидљивим, тако да чланови ЛинкедИн-а аутоматски попуњавају своје податке са профила тако што ће кликнути било где на нежељену пошту веб сајт.
Грешка скриптовања на више локација омогућава хакерима да модификују приказ веб локације
Цросс-Сите Сцриптинг или КССС[3] је широко распрострањена рањивост која може утицати на било коју апликацију на вебу. Хакери користе грешку на начин да лако могу да убаце садржај на веб локацију и модификују њен тренутни приказ приказа.
У случају грешке ЛинкедИн-а, хакери су успели да искористе широко коришћени додатак АутоФилл. Ово последње омогућава корисницима да брзо попуне формуларе. ЛинкедИн има домен на белој листи за коришћење ове функције (више од 10.000 укључено у првих 10.000 веб-сајтова рангираних од стране Алека), дозвољавајући одобреним трећим лицима само да попуне основне информације са својих профил.
Међутим, КССС мана омогућава хакерима да прикажу додатак на целој веб локацији која га прави „Аутоматско попуњавање са ЛинкедИн-ом“ дугме[4] невидљиви. Сходно томе, ако корисник интернета који је повезан са ЛинкедИн-ом отвори веб локацију захваћену КССС грешком, кликом на празан или било који садржај позициониран на таквом домену, ненамерно открива личне податке као да кликне на „Аутоматско попуњавање са ЛинкедИн-ом” дугме.
Као последица тога, власник веб странице може да добије пуно име, број телефона, локацију, адресу е-поште, поштански број, компанију, позицију на којој се налази, искуство итд. без тражења дозволе посетиоца. Као што је Џек Кејбл објаснио,
То је зато што би дугме за аутоматско попуњавање могло да буде невидљиво и да обухвата целу страницу, узрокујући да корисник кликне било где да пошаље информације о кориснику на веб локацију.
Закрпа за грешку АутоФилл је већ издата 10. априла
По оснивању, Џек Кејбл, истраживач који је пронашао недостатак, контактирао је ЛинкедИн и пријавио КССС рањивост. Као одговор, компанија је 10. априла објавила закрпу и ограничила мали број одобрених веб локација.
Ипак, рањивост ЛинкедИн Аутофилл није успешно закрпљена. Након детаљне анализе, Кејбл је известио да је бар један од домена са беле листе још увек рањив на експлоатацију која дозвољава криминалцима да злоупотребе дугме за аутоматско попуњавање.
ЛинкедИн је обавештен о незакрпљеној рањивости, иако компанија није одговорила. Сходно томе, истраживач је објавио рањивост. Након открића, ЛинкедИн-ово особље је брзо објавило закрпу у више наврата:[5]
Одмах смо спречили неовлашћено коришћење ове функције, чим смо обавештени о проблему. Иако нисмо видели знакове злоупотребе, стално радимо на томе да подаци наших чланова остану заштићени. Ценимо истраживача што је ово одговорно пријавио, а наш безбедносни тим ће наставити да буде у контакту са њима.